Generative Data Intelligence

Cyber ​​Security

Alríkisheimildir um netöryggi lækningatækja verða alvarlegar

Útgefið af Platon
Útgefið af Platon

Dagsetning:

Views: 59

Í sex mánuði hafa framleiðendur lækningatækja þurft að hlíta nýjum reglum um netöryggi sem miða að því að herða lækningatæki gegn netárásum, en bandaríska matvæla- og lyfjaeftirlitið hefur að mestu sleppt því að nota „neita að samþykkja“ vald sitt hingað til. 

Þann 1. október lýkur fresti FDA - þar sem stofnunin lýsti því yfir að hún myndi reyna að nota ekki getu sína til að hafna lækningatækjum sem skortir viðeigandi netöryggiseftirlit og getu til að plástra eftir markaðssetningu -. Framleiðendur læknisfræðilegra nettækja verða nú að leggja fram áætlanir um að fylgjast með og laga veikleika í netöryggismálum eftir markaðssetningu, hafa ferli til staðar fyrir örugga hönnun og þróun tækja og útvega FDA hugbúnaðarskrá (SBOM). Þeir sem ekki uppfylla kröfurnar gætu fengið tæki þeirra hafnað á þeim forsendum að of mikil netáhætta stafi af þeim.

Áhersla stofnunarinnar á netöryggi lækningatækja stafar af samþykkt þingsins um fjárveitingarlög í desember 2022 sem innihélt kafla, "Að tryggja netöryggi lækningatækja,” sem krefst þess að framleiðendur lækningatækja leggi fram netöryggisupplýsingar til FDA varðandi hvaða nettæki sem er. Heimildirnar sem FDA eru veittar, sem tók gildi í mars, gæti farið langt í að neyða framleiðendur lækningatækja til að íhuga og skipuleggja veikleika og netárásir, segir Ty Greenhalgh, iðnaðarstjóri heilbrigðisþjónustu hjá Claroty, IoT öryggisfyrirtæki.

„Þessi löggjöf fjallar sérstaklega um að þú þurfir að gera eitthvað í sambandi við plástra og uppfærslu á nýju tækjunum og hvernig ætlarðu að fá plástra og uppfærslur út yfir líftímann á hæfilegum tíma,“ segir hann. „Hvernig þetta er sett upp, hefur það víðtæka heimild til túlkunar til FDA um hvað þarf til að tryggja lækningatæki netöryggi og hver eru viðurlögin ef þú ert ekki í samræmi við túlkun þeirra.

Lækningatæki hafa haft áhyggjur af netöryggissérfræðingum í meira en áratug, með sýning á getu til að hakka insúlíndælu afmáði margar blekkingar um öryggi árið 2011. Miklar lausnarhugbúnaðarárásir á sjúkrahús hafa leitt í ljós veikleika og afleiðingar, þar sem bandaríska heilbrigðis- og mannþjónusturáðuneytið áætlar að hægari viðbragðstími og meðferð sjúklinga hafi leitt til allt að 36 fleiri dauðsföll á 10,000 hjartaáföll.

Samt hafa framleiðendur lækningatækja verið seinir að breytast. Árið 2022 hélt aðeins um fjórðungur framleiðenda (27%) við SBOM, á meðan innan við helmingur (47%) greip jafnvel algengustu mótvægisaðgerðirnar: Tvíundarkóðagreining.

FDA, sem úthlutaði 5 milljónum dala af fjárhagsáætlun sinni til netöryggis lækningatækja, gæti breytt því.

„Netöryggisnýting er ein umfangsmesta ógn sem þessi þjóð stendur frammi fyrir og áhrifin eru sérstaklega skaðleg fyrir heilbrigðiskerfið okkar, þar sem veikleikar gætu stefnt heilu sjúkrahúskerfin í hættu eða truflað framleiðslu á ótal tækjum ef þau verða fyrir áhrifum,“ FDA. fram í árlegri áætlun um fjárveitingar. „Á endanum eru þessar ógnir af þjóðaröryggisáhyggjum vegna þess að ef þær fara ekki í taumana gætu þær lamað heilsugæslu.

Að tryggja netöryggi lækningatækja

Bandaríska matvæla- og lyfjaeftirlitið hefur beitt sér fyrir auknu netöryggi í lækningatækjum í meira en áratug. Bestu starfsvenjur netöryggis fyrir netlækningatæki árið 2005 og útgáfu drög að leiðbeiningum til framleiðenda árið 2016. Nettæki eru skilgreind sem tæki með hugbúnaði, getu til að tengjast internetinu eða hafa tæknilega hluti sem gæti verið viðkvæmt fyrir netöryggisógnum.

Að setja þessar nýju kröfur í lög er fyrsta skrefið, en er langt frá því að vera svar í sjálfu sér, segir David Brumley, netöryggisprófessor hjá Carnegie Mellon og forstjóri hugbúnaðaröryggisfyrirtækisins ForAllSecure.

„Við erum að byggja upp vöðva á þessum tímapunkti og sá vöðvi mun ekki leyfa okkur að lyfta þessari opnu [öryggis]þyngd ennþá. En ef við byrjum ekki að byggja upp þennan vöðva munum við ekki geta það eftir 20 ár,“ segir hann. „Ég vildi bara að þeir tækju það skrefi lengra, til að segja hvernig þeir ætla að bera ábyrgð á fólki og hvaða vald þeir hafa til að bera ábyrgð á fólki.

Ekki nógu ítarlegt til að hjálpa

Þó að stjórnvöld hafi rétt forðast að mæla fyrir um tæknilegar ráðstafanir í lögum vegna ört breytilegra tækni, hefði löggjöfin getað búið til nefnd sérfræðinga til að ákvarða bestu starfsvenjur til að tryggja lækningatæki, segir Brumley.

„Ef þú vilt ekki að stjórnvöld fyrirskipi nákvæmlega hvernig þú ættir að gera hlutina, vegna þess að það getur verið hægt og skrifræðislegt, þá ættir þú að hafa iðnaðarráð sem segir hvað [bestu starfsvenjur] eru fyrir sérfræðing,“ segir hann. Brumley bendir á að verkfræðingar sem byggja brýr hafi staðla og reglur sem mælt er fyrir um af iðnaði og stjórnvöldum til að fara eftir við áreiðanleikakönnun og gæti fundist vanræksla ef þeir fara ekki eftir þeim. „Þessar kröfur eru svo óljósar að þú gætir í rauninni ekkert gert, annað en kannski að keyra SCA (hugbúnaðarhlutagreiningu) skönnun, og þú myndir uppfylla löggjöfina.

Þar að auki eru lögin ekki með íhlut sem fjallar um eldri tæki þarna úti, sem eru meðal viðkvæmustu, sum þeirra eru 15 ára, bætir Claroty's Greenhalgh við.

„Þessi löggjöf er hönnuð til að byrja að takast á við vandamálið, en jafnvel þótt þú sért að stinga gatinu á bátinn … það er í raun ekki skýrt í löggjöfinni hvað þú ætlar að gera við eldri tækin,“ segir hann.

FDA hefur umtalsverð úrræði um netöryggi í lækningatækjum, þar á meðal leikbók um viðbrögð við atvikum, leiðarvísi fyrir ógnunarlíkön og skjal um bestu starfsvenjur til að miðla netöryggisveikleikum til sjúklinga.

blettur_img

Nýjasta upplýsingaöflun

blettur_img

Höfundarréttur @ 2024 Plato Technologies Inc.

Spjallaðu við okkur

Sæll! Hvernig get ég aðstoðað þig?